Het zal niemand zijn ontgaan dat eind mei de AVG van kracht wordt. Vanaf dat moment moet iedere organisatie passende maatregelen hebben doorgevoerd voor het omgaan met data lekken, eDiscovery, M&A-data rooms en andere data verzamelingen die veel persoonlijke gegevens bevatten. Hoewel veel nog onduidelijk is en er geen pasklare oplossing is voor alle vereisten, is er wel veel wat u nu kunt doen om straks compliant te zijn en toch slagvaardig te blijven.
Op 25 mei a.s. wordt de Algemene Verordening Gegevensbescherming (AVG) ook wel aangeduid met de Engels term General Data Protection Regulation (GDPR), van kracht. Met de AVG gaat de Europese Commissie de persoonsgegevens van individuen binnen de Europese Unie strenger beschermen.
Vanaf dat moment moet iedere organisatie passende maatregelen hebben doorgevoerd voor het omgaan met data lekken, eDiscovery, M&A-data rooms en andere data verzamelingen die veel persoonlijke gegevens bevatten.
Geen pasklare oplossing
Hoewel veel consultants anders doen geloven, is er geen pasklaar wondermiddel om alle vereisten van de AVG af te dekken. De nieuwe wetgeving is veel te breed en omvat te veel aspecten van gegevensbescherming, privacy en security.
Iedereen heeft straks het recht tot inzage in zijn of haar persoonlijke informatie en iedereen kan zich straks beroepen op "het recht om te worden vergeten". Dat betekent dat u in staat moet zijn te allen tijde specifieke persoonsgegevens te traceren en te verwijderen. En dat moet u ook nog eens kunnen bewijzen aan de aanvrager en een eventuele toezichthouder.
Bedrijven moeten voldoen aan zeer strenge cyberbeveiligingseisen, verplichte encryptie en eventuele datalekken direct melden. Voor iedere corporate transactie gelden strakke regels voor het verwerken, opslaan en doorgeven van persoonlijke gegevens. En ieder bedrijf is verplicht om altijd vooraf expliciete toestemming te vragen voor het opslaan van bepaalde persoonlijke informatie en dit bewijsbaar vast te leggen.
Veel zaken onduidelijk
Daarnaast zijn er nog steeds veel vragen over de praktische implicaties van verschillende onderdelen van de wetgeving. Er is dus geen pasklare oplossing die u kunt omarmen. Maar er is wel heel veel wat u al kunt doen om op zijn minst de meest dringende zaken aan te pakken. Als u op 25 mei de volgende vragen bevestigend kunt beantwoorden, bent u al een heel eind.
- Bent u in staat om persoonlijke informatie te redigeren en te pseudonimiseren voordat deze openbaar wordt aan derden?
- Bent u in staat om oudere archieven op te ruimen die persoonlijke informatie bevatten waarvoor geen zakelijk doel bestaat of waarvoor geen expliciete toestemming is verleend?
- Kunt u de gegevens van uw bedrijf opslaan in verschillende rechtsgebieden?
- Kunt u getroffen personen na een datalek op tijd informeren?
- Kunt u reageren op het verzoek om te worden vergeten?